Katalog CVE

CVE-2026-1568

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Rapid7 InsightVM przed 8.34.0 zawierają problem z weryfikacją podpisu na chmurowym punkcie końcowym Assertion Consumer Service (ACS), co może umożliwić atakującemu uzyskanie nieautoryzowanego dostępu do kont InsightVM skonfigurowanych za pomocą instalacji 'Security Console'. Problem ten prowadzi do pełnego przejęcia konta.

Ocena ryzyka

Organizacja narażona jest na ryzyko przejęcia kont użytkowników, co może prowadzić do utraty danych oraz nieautoryzowanego dostępu do zasobów systemu. Atakujący mogą wykorzystać tę podatność do manipulacji danymi i działań w imieniu użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 8.34.0 lub nowszej, aby usunąć problem z weryfikacją podpisu i zabezpieczyć konta użytkowników przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

Rapid7 InsightVM versions before 8.34.0 contain a signature verification issue on the Assertion Consumer Service (ACS) cloud endpoint that could allow an attacker to gain unauthorized access to InsightVM accounts setup via "Security Console" installations, resulting in full account takeover. The issue occurs due to the application processing these unsigned assertions and issuing session cookies that granted access to the targeted user accounts. This has been fixed in version 8.34.0 of InsightVM.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS